ServiceNowがセキュリティインシデントを公表-認証不要のAPIエンドポイント経由で顧客インスタンスのテーブルに不正クエリ、6月5日に修正適用済み|セキュリティとITのニュース-セキュリティ対策Lab

投稿日時: 2026年06月10日更新日時: 2026年06月10日

2026年6月9日、ITサービス管理（ITSM）のエンタープライズSaaS大手ServiceNowは、セキュリティインシデントを影響顧客に通知しました（BleepingComputer・Lawrence Abrams、2026年6月9日17時34分）。今回の通知は一般向けのプレスリリースではなく、ServiceNowのサポートログインポータルの背後にある非公開のサポートブレティン、および影響を受けた顧客への直接のサポートケース開設という形で行われています。

BleepingComputerの報道によれば、攻撃者が認証不要の脆弱なAPIエンドポイントを悪用することで、ServiceNowの顧客インスタンスのテーブルに対してデータをクエリ（照会）することに成功しており、同社は2026年6月5日に修正を適用しました。

なお、どのデータがアクセスされ、どの程度取得されたかについてはServiceNowは現時点で開示していません。

ServiceNowの公式サポートブレティンには「今回の更新はセキュリティ上の問題に関するものであり、この問題は認証されていないユーザーが特定の状況においてServiceNowインスタンスへの意図した以上のアクセスを取得することを可能にしていた」と記載されています。

サマリー

2026年6月9日、ServiceNowが顧客インスタンスへの不正クエリを伴うセキュリティインシデントを影響顧客に通知（一般公表ではなく非公開のサポートブレティン・サポートケース経由）
攻撃の手口：認証不要（unauthenticated）の脆弱なAPIエンドポイントを経由し、顧客インスタンスのテーブルに不正クエリを実行
攻撃者のクエリ成功はServiceNowが確認。ただしどのデータがアクセス・取得されたかは未公表
修正適用日：2026年6月5日（ホスト型顧客インスタンスへのセキュリティアップデートを適用）
修正内容：APIエンドポイントの設定を変更し、認証済みユーザーのみのアクセスに制限
主な対象：Australia release、または旧リリースで特定の設定変更をした顧客（BleepingComputer報道）
Redditのコミュニティ（r/servicenow）では問題のエンドポイントとして「/api/now/related_list_edit/create」が指摘されている（ServiceNow公式未確認）
通知方法：影響を受けた顧客にはサポートケースが開設済み。ケースを受け取っていない顧客は影響を受けていないとみなされる
CVE発行については評価中（ServiceNow公式）
ServiceNowのインスタンスには一般的にITサポートチケット・従業員記録・内部ドキュメント・資産インベントリ等が格納されており、こうした情報が今回のクエリの対象となった可能性があるが、実際にアクセスされたデータ種別は未確認

1 インシデントの技術的詳細——認証不要のAPIエンドポイントの悪用
2 ServiceNowで発生した過去の脆弱性
3 ServiceNowとは—約8,400組織・Fortune 500の85%以上が使用するエンタープライズITSMプラットフォーム
4 自組織が影響を受けているかの確認方法
5 FAQ
6 参考情報

インシデントの技術的詳細——認証不要のAPIエンドポイントの悪用

ServiceNowの公式説明（サポートブレティン）

ServiceNowがサポートブレティンで発表した内容は以下のとおりです。

「2026年6月5日、ServiceNowはホスト型顧客インスタンスにセキュリティアップデートを適用した。この更新はセキュリティ上の問題に関するものであり、この問題は認証されていないユーザーが特定の状況においてServiceNowインスタンスへの意図した以上のアクセスを取得することを可能にしていた。」

同社はAPIエンドポイントの設定を変更し、認証済みユーザーのみがアクセスできるように制限したことを確認しています。また、攻撃者がこの欠陥を悪用して顧客インスタンスのテーブルに対してクエリを成功裏に実行したことも認めています。

影響を受ける顧客の範囲

BleepingComputerは、ServiceNowの警告として「Australia release、または旧リリースで特定の設定変更をした顧客」が対象となると報じています。これは脆弱性が特定のリリースバージョンや設定構成に依存していることを示しており、すべてのServiceNow顧客が影響を受けるわけではありません。

Redditコミュニティが指摘する技術的詳細

ServiceNowのコミュニティ（r/servicenow）では、管理者たちが問題のAPIエンドポイントとして「/api/now/related_list_edit/create」というRESTエンドポイントへの言及や「requires_authentication=false」の設定についての議論があります。ただしこれはServiceNowによる公式確認ではなく、コミュニティによる分析に基づくものです。

このような内部APIエンドポイントに認証なしでアクセスできた場合、インスタンスのテーブルに対するクエリが可能となります。ServiceNowのインスタンスにはCMDB（企業のITインフラ全体の構成情報）が含まれる場合もあり、攻撃者がシステム構成・ネットワーク構成などの情報を取得できた可能性は排除できませんが、実際の被害範囲は現時点では不明です。

CVEについて

ServiceNowは今回の脆弱性についてCVEを公開するか評価中であるとBleepingComputerは報じています。CVEが割り当てられ次第、公式サポートページで確認できます。

ServiceNowで発生した過去の脆弱性

以下の過去の脆弱性です。ServiceNowをはじめとするエンタープライズSaaSは、多数の組織の機密データを集約しているため、攻撃者の高価値な標的になり続けています。特にサポートチケット・ワークフローデータ・CMDB情報等はその後の標的型攻撃に活用される可能性があるため、インシデントが発生した際の影響範囲は広がりやすい構造があります。

CVE-2025-3648（2025年）：ServiceNow Now PlatformのACL（アクセス制御リスト）の設定によっては、認証されていないユーザーと認証されたユーザーの両方がrange queryリクエストを使用してアクセス不可のデータを推測できる脆弱性。2025年5月にセキュリティアップデートを配布。

CVE-2025-12420（2026年1月）：ServiceNow AIプラットフォームの Virtual Agent APIにおける認証不要のユーザーなりすまし脆弱性。AppOmniが「BodySnatcher」と命名。メールアドレスのみで任意のユーザー（管理者を含む）になりすまし、AIエージェントを実行して特権操作が可能。CVSS v4.0は9.3 Critical。ServiceNowは実際の悪用を確認していないと当時のアドバイザリで述べています。

CVE-2026-0542（2026年2月）：ServiceNow AIプラットフォームにおけるRCE（任意コード実行）脆弱性。サンドボックス環境を迂回して認証なしにリモートコード実行が可能。ServiceNow CNA評価でCVSS v4.0 9.2 Critical。なお、ServiceNowは顧客インスタンスへの悪用を当時のアドバイザリ時点で確認していないと述べており、今回の6月インシデントとは別の事案です。

今回の6月インシデント（2026年6月）：認証不要のAPIエンドポイント経由での顧客インスタンステーブルへの不正クエリが実際に成功したことをServiceNowが確認。CVE評価中。

ServiceNowとは—約8,400組織・Fortune 500の85%以上が使用するエンタープライズITSMプラットフォーム

今回の事案の規模を理解するには、ServiceNowがいかに広く使用されているかを把握する必要があります。

ServiceNow（本社：米国カリフォルニア州サンタクララ）は、ITSM（ITサービス管理）・HR（人事管理）・CSM（顧客サービス管理）・GRC（ガバナンス・リスク・コンプライアンス）・セキュリティオペレーションなどのワークフロー自動化を提供するクラウドプラットフォームです。ServiceNowの公式情報（2025年時点）によれば、約8,400組織（Fortune 500の85%以上を含む）が利用しており、日本では製造業・金融・通信・官公庁等の大企業での導入が広がっています。

ServiceNowのインスタンスに格納される情報の種類として、ITサポートチケット・従業員記録・内部ドキュメント・資産インベントリ・セキュリティインシデントレポート・ワークフローデータ・企業システムの設定情報が考えられます。

特にサポートチケットには、トラブルシューティング中に共有される認証情報・APIトークン・内部ドキュメントが含まれることがあり、BleepingComputerも「サポートケース情報は脅威アクターにとってますます人気のある標的になっている」と指摘しています。なお、これはServiceNowインスタンスに一般的に保存される情報の例示であり、今回のインシデントで実際にどのデータがクエリされたかはServiceNowが公表していません。

自組織が影響を受けているかの確認方法

ServiceNowサポートケースの確認（最優先）：ServiceNowは影響を受けた顧客に対してサポートケースを開設しています。「サポートケースを受け取っていない場合は影響を受けていないとみなされる」とServiceNowは説明しています。ServiceNowのNowSupportポータルでオープンされているサポートケースを確認してください。

リリースバージョンと設定の確認：今回の影響は主に「Australia release、または旧リリースで特定の設定変更をした顧客」に関係すると報じられています。自組織のインスタンスのリリースバージョンと設定変更履歴を確認し、ServiceNowから具体的なガイダンスが届いているかを確認してください。

ログの確認：修正適用日（2026年6月5日）以前のAPIアクセスログを確認し、内部APIエンドポイントに対する不審なアクセス（特に認証なし・未知のIPアドレスからのアクセス）がないかを確認することを推奨します。

セルフホスト（オンプレミス）型インスタンスの確認：ServiceNowは現時点でセルフホスト型インスタンスについて明確な言及をしていません。オンプレミスで運用している場合は、ServiceNowサポートに問い合わせて影響の有無と必要な対処を確認してください。

CVE公開後の追加確認：ServiceNowがCVEを公開した後に、正式な影響範囲・対象バージョン・対処方法が明確になります。ServiceNow Trustで続報を確認してください。

FAQ

Q. 自組織のServiceNowインスタンスからデータが「漏えい」したのですか？ A. 攻撃者が顧客インスタンスのテーブルに対してクエリを成功させたことはServiceNowが確認しています。ただし、どのデータがアクセスされ、どの程度取得されたかについてServiceNowは現時点で公表していません。「漏えい・窃取」が確定したわけではなく、現時点では「不正クエリが成功した可能性がある」という状況です。

Q. ServiceNowのクラウド（ホスト型）インスタンスを使用している場合、修正は自動的に適用されましたか？ A. はい。ServiceNowはホスト型顧客インスタンスに対して2026年6月5日に修正を適用しています。ただし影響を受けた顧客にはサポートケースが開設されているため、NowSupportポータルでサポートケースの有無を確認することを推奨します。

Q. 「Australia release」とは何ですか？なぜ対象になるのですか？ A. ServiceNowはリリースに地名を使ったバージョン名（例：Xanadu、Yokohama、Tokyo、Washingtonなど）を付けています。Australia releaseはその中の一つです。今回の脆弱性が特定のリリースや設定変更に依存するため、すべての顧客が影響を受けるわけではありません。

Q. 今後CVEが発行された場合、何が変わりますか？ A. CVEが発行されると、公式な脆弱性番号・CVSS スコア・正式な影響範囲・対象バージョンが公開されます。これによりサードパーティのセキュリティツール（脆弱性スキャナー・SIEMなど）でも追跡が可能になり、対処の優先度付けがしやすくなります。ServiceNow Trustページで続報を確認してください。